by
Anonymous Coward
on 2010年05月11日 20時11分
(#1762164)
だから原文をちゃんと読めってあれほど言っただろ、って感じのコメントですね。
> In other words, 100 % of the tested products were found vulnerable. The only reason there are not more products in the following table is our time limitation.
マイクロソフトにしてみれば (スコア:-1)
だからカーネルにパッチ当てるなってあれほど言っただろ、って感じの攻撃ですね。
注意深く作る必要はありますが、OSが提供しているフックをお行儀よく使っていれば避けられたはずの脆弱性です。レポートのvulnerable softwareにも、Live OneCareやSecurity Essentialsは含まれていませんね。これはMicrosoftのセキュリティ製品だけが非公開APIでズルしているからではありません。MicrosoftはAPIを公開していましたが、サードパーティーはそれを無視するばかりか今までのやり方(カーネルパッチ)を続けさせろと文句を言っていました。
念のため書いておきますが、PatchGuardのおかげでこの脆弱性が避けられるわけではありませんので、PatchGuardが回避可能であることはこの脆弱性の議論と無関係です。
Re:マイクロソフトにしてみれば (スコア:2, 興味深い)
カーネルにパッチとは何のことでしょうか?
今回の問題は、ウィルス対策ソフトが検知のために使っている仕組みが、Microsoftがデバッグ用として提供しているフック用APIを使った方法であることに起因しています。この方法は、アプリケーションのデバッグ目的に非常に有効です。Microsoft自身が「Application Verifire」というツールを提供していて、API呼び出しに問題がある場合(引数がNULLだったとか)レポートしてくれるという超便利ツールがこの仕組みを使っています。
ほえほえ
Re:マイクロソフトにしてみれば (スコア:2, 参考になる)
> Microsoft自身が「Application Verifire」というツールを提供していて、
どこにそんなこと書いてますか? レポートでは
SSDT hook [matousec.com]とその問題 [matousec.com]について説明しているようですが。SSDT hookはまさにMSがやるなと言っている方法です。
逆にApplication Verifierについて言及している箇所は見つけられませんでした。
Re:マイクロソフトにしてみれば (スコア:2)
おー、了解です。ありがとうございます。カーネルの一歩手前の話ですか。なるほど。AppVは関係ないですね。失礼いたしました。
ほえほえ
Re:マイクロソフトにしてみれば (スコア:1, 参考になる)
だから原文をちゃんと読めってあれほど言っただろ、って感じのコメントですね。
> In other words, 100 % of the tested products were found vulnerable. The only reason there are not more products in the following table is our time limitation.
とのことなので、MSのプロダクトが載ってないのは行儀がいいからじゃなくて単にテストされてないだけ。
Re: (スコア:0)
Security Essentialsは影響を受けないと確認されました [twitter.com]よ?
原文には確かにすべてをテストしていないとありましたが、攻撃手法の原理上Security Essentialsが影響を受けないことはほぼ確信してたのでフライングを承知で書いたのです。